Os Do's e os Don'ts da Quantificação de Riscos Cibernéticos para os CISO

No entanto, à medida que a tecnologia se tornou essencial para todos os aspetos das operações de negócio e as ameaças se tornaram cada vez mais comuns e dispendiosas, o papel do CISO evoluiu em termos de criticidade. Em vez de desempenhar um papel secundário cujo principal propósito é manter as máquinas a funcionar e resolver erros, espera-se hoje que o CISO contribua materialmente para a resiliência e o crescimento das empresas.

Devido a esta mudança para expectativas mais estratégicas, o CISO tem de traduzir a cibersegurança - risco, prevenção, mitigação e, em última instância, resiliência - para uma linguagem dos negócio, tornando-a relevante para toda a organização.

A quantificação de riscos cibernéticos (QRQ) surgiu como ferramenta valiosa para fazer exatamente isso - definir e articular o risco em termos financeiros para ajudar a guiar decisões e ações e compreender o retorno do investimento ao tornar a organização mais resiliente.

Mais do que apenas um “bom ter”, a QRQ está a ficar uma real necessidade para muitas organizações, à medida que os conselhos de administração, governos e órgãos reguladores exigem maior responsabilidade. 

No entanto, realizar uma avaliação não é suficiente. Mesmo quando os CISOs compreendem os riscos e as implicações, comunicá-los claramente ao resto da organização, aos executivos e ao conselho de administração pode ser um desafio.

Aqui estão algumas dicas para aproveitar a QRQ e obter adesão para os investimentos que precisa fazer.

DO: Comunicar o risco em termos financeiros

Os líderes empresariais tomam decisões com base em métricas empresariais. Como CISO, terá de contextualizar o risco numa linguagem que eles possam entender e defini-lo com números concretos, não com semáforos e gráficos. A cibersegurança é uma função que precisa ser gerida tal como o talento, os processos, a inovação e a tecnologia. Investimos em ferramentas para gerir o risco e otimizar o desempenho nessas áreas - a cibersegurança não pode ser diferente.

DON’T: Alarmar

Certamente quer apresentar evidências dos riscos e dos potenciais danos que poderiam ocorrer, mas evite ser excessivamente ameaçador ou usar um tom condescendente. Reconheça que a equipa executiva ou o conselho de administração está a tentar equilibrar as necessidades de toda a organização. Apesar de pretender que eles levem os riscos cibernéticos a sério, o céu não está verdadeiramente a cair, e uma abordagem demasiado zelosa pode parecer isolada ou fora de contexto com as realidades empresariais.

DO: Encarar como proteção de outros investimentos

Para quem toma decisões, equilibrar as necessidades da organização inclui garantir que os outros investimentos tenham a melhor probabilidade de sucesso. É aí que entra a cibersegurança; pode proteger os investimentos que já fez e os que fará no futuro. Pense da seguinte forma: não compraria um carro desportivo caro sem um sistema de segurança, uma garagem para guardá-lo ou um seguro para cobrir a perda no caso de ser roubado ou danificado. Da mesma forma, o investimento em cibersegurança assegura que todas as outras iniciativas na organização serão mais resilientes, mais completas e terão um menor risco de falhar. 

DON’T: Ser demasiado técnico

Os seus colegas executivos e o conselho de administração podem não precisar (e provavelmente não querem) ouvir os detalhes técnicos sobre que táticas os mais recentes cibercriminosos estão a usar. Só querem estar a par sobre a possibilidade de um ataque, o potencial dano e se a sua organização está equipada para evitá-lo. Explique em termos que eles possam entender, como a probabilidade e o impacto. Considere uma matriz de risco tradicional de 5x5, que é comumente usada para quantificar o risco em vários setores empresariais. Se o impacto potencial de um evento é significativo, mas improvável, terá naturalmente mais dificuldade em obter adesão. Mas se o impacto for existencial, independentemente da probabilidade, tem um caso bastante convincente.

DO: Destacar o risco de não fazer nada

Pedir um investimento multimilionário para eliminar completamente sistemas legados pode parecer exagerado, a menos que seja necessário para conformidade regulatória. De repente, isso torna-se um pouco mais relevante. Se não fizer nada, que vulnerabilidades está a deixar expostas? Existem questões de conformidade e potenciais multas? Está a arriscar novos negócios? Está a colocar em risco os dados dos clientes? Quem toma decisões precisa saber as consequências potenciais da inação.

DON’T: Saltar para a frente muito cedo

Embora a CRQ seja cada vez mais importante, não invista numa avaliação de CRQ até ter estabelecido uma base sólida de cibersegurança. Por exemplo, suponha que está a usar a Escala de Maturidade CMMI. E que a sua pontuação agregada para a maturidade dos controlos cibernéticos é inferior a 2,5. Nesse caso, qualquer avaliação indicará controlos fundamentais que podem ser implementados sem a necessidade de quantificar o risco – portanto, considere fasear a sua abordagem para aproveitar os resultados de forma mais eficaz. Sem mencionar que documentar os riscos cibernéticos sem construir a capacidade de os abordar pode ter implicações negativas no futuro. 

DO: Explicar a responsabilidade pessoal

Os CISOs e os outros líderes da empresa podem ser (e têm sido) responsabilizados pessoalmente por uma violação quando é constatado que estavam cientes das vulnerabilidades e escolheram não agir ou encobri-las. A organização precisa ter uma estratégia legal para a resposta a incidentes cibernéticos, incluindo priorizar a integridade e reconhecer que qualquer pessoa suspeita de obstrução ou má representação pode ser responsabilizada pessoalmente. Isto é mais prevalente nos EUA, mas outros países estão a começar a seguir o exemplo com as suas próprias diretrizes.

DON’T: Prometer eliminar todos os riscos

Não só isso é completamente irrealista, como também é indesejável. Todas as empresas precisam assumir uma certa quantidade de risco para funcionarem e serem inovadora. Um nível aceitável de risco operacional permite que vá mais além e seja competitivo, mas não é excessivamente cauteloso ao ponto de paralisar. Os líderes empresariais compreendem a análise de risco-benefício, por isso quantifique o risco nesses termos e decida que nível está disposto a tolerar.

Como CISO, está ciente dos riscos de cibersegurança. Provavelmente consegue avaliar o risco da sua organização ao seguir as novidades sobre ameaças de fornecedores especializados, as notícias nos media, fazendo networking em fóruns profissionais e compreendendo a infraestrutura da sua organização. Mas, tal como não pode elaborar a estratégia financeira mais prudente para uma fusão iminente ou um pacote de benefícios para funcionários eficiente em termos de custos, não espere que os seus colegas do departamento financeiro e RH compreendam como gerir o risco cibernético. E, de facto, o seu conselho de administração não pode conhecer todos os detalhes de cada função.

É por isso que os CISOs devem ser capazes de articular e quantificar o risco cibernético em termos empresariais, falar a mesma linguagem que outros líderes empresariais e explicar como isso impacta todas as outras áreas do negócio.